Синхронизация на Linux криво работает. У меня так и не получилось настроить её. Пробовал Google Drive, SFTP, FTPS - ничего не работает. Очень много способов синхронизации на Linux вообще не поддерживается(
@@nickc2928 ты будешь крайне удивлен, но даже ты нужон. Все тщательно записывается и сохраняется (благо память дешевеет с каждым годом). И когда будет нужно, это обязательно достанут и используют. Не факт, что не против тебя.
@@johenews21, Можно ли поставить LineageOS на Nokia/Mocrososoft phone вместо мобильной винды? Видео гайд на русском был бы многим весьма полезен (в частности моей двоюродной бабушке, которой естественно я всё и сделаю, если найду хорошую инструкцию) как идея для видео вроде не плохо, но может быть скучно тем, кому это не нужно. Так что пожалуйста, подумай, можно ли такое реализовать
Мне интересно про открытые ОС для телефона и еще про открытое железо, например про puri.sm, coreboot, libreboot. Потому что открытый софт на закрытом железе - это неполный опен сурс. Для примера, можешь запилить видосик про Intel AMT (это одна из частей vPro). Intel AMT работает на уровне прошивки и не зависит от ОС, с помощью Intel AMT можно видеть экран, управлять клавиатурой, мышкой, менять настройки и обновлять BIOS, есть доступ к сетевой карте (т.е. все этом можно делать удаленно) скорее всего, для спец. людей есть и нужный доступ к памяти, т.е. можно будет смотреть зашифрованные пароли, когда они расшифрованные хранятся в оперативке или кэше, т.е. менеджер паролей спасёт от делитантов-хейкеров, и не спасет от профи-хейкеров. И это не теория заговора, я сам использую все эти функции, кроме доспупа к озу, для управления удаленным сервером. Буду рад видосикам на все эти темы.
основная проблема в том что при работе в консоли через pass пароль виден на экране. и его можно подсмотреть, засветить на скриншоте, или в созвоне каком с шарингом экрана. молчу про ситуации когда на компе может стоять потенциально шпионское ПО и делать скрины экранов. в этом смысле мне keepassxc (прошу заметить, именно этот форк) нравится намного больше. хотя идея с отдельными файликами и папками мне ближе, чем какой-то бинарный и непонятный файл, который можно случайно повредить при синке, например( ну и история с гитом клевая, конечно, потому что вся история может быть сохранена. а что кстати с файлами, в pass можно добавить файл? например, у меня в кипасе лежит база OTP-ключей. неплохо бы еще иметь возможность прикреплять файлики… хотя с другой стороны файл можно зашифровать gpg с ключом -a и просто вставить текстом.
Приветствую. Еще не пробовал, но вопрос: Эту прогу ставишь на сервер (или свой комп), а потом на андроиде или на винде или еще как-то, и можешь быстро синхронизировать пароли? И как происходит синхранизация? через облако, своё например, или через внутренние функции программы?
минус пасса в том, что он хранит название сервисов в открытом виде, нужна еще одна дополнительная защита. экран не писал, потому что там защита от записи, кражи паролей
Мне очень удобно хранить конфиденциальную информацию в файле LibreOffice Calc, на который задан пароль.Подходит для хранения разной информации (не только паролей). Для каждого вида информации можно создать отдельный лист, на котором своя таблица с нужными тебе названиями столбцов, а не теми которые придумали разработчики, например keepassx. Поддерживается форматирование документа, т.е. выбор шрифта, его размер, цвет, выравнивание и многое другое. Хотелось бы узнать у автора видео о надежности такого вида хранения паролей. Понимаю, что взломать можно все, что угодно, но какова надежность по сравнению с тем же keepassx?
Ты абсолютно прав, но стоит отслеживать безопасность немного глубже (сейчас это достаточно просто - агрегаторов новостей IT-секьюрити много в интернете, а компаний тестирующих безопасность вообще немеряно). В качестве только одного примера (их очень много на самом деле, и постоянно новые появляются): Компания Independent Security Evaluators в ходе тестирования менеджеров паролей обнаружила, что весь топ-5 является уязвимым и позволяет при наличии доступа к компьютеру восстановить пароли пользователя, поскольку они остаются в памяти после использования. Для востановления и деобфускации паролей доступны несколько вариантов (в разной степени для разных менеджеров). Хотя проврдилось тестирование только версий для Windows, но специалисты считают, что данная проблема может быть проэксплуатирована и на других системах. Уязвимые менеджеры: - 1Password 7 - 1Password 4 (наиболее уязвим, поскольку позволяет даже восстановить мастар-пароль!) - Dashlane - KeePass (При этом KeePassX и KeePassXC уязвимыми не являются) - LastPass www.securityevaluators.com/casestudies/password-manager-hacking/ P.S. Относительно pass - согласен на 100% (у меня на OpenBSD он называется немного иначе - password-store, но это он же).
ну я так понимаю, что это сама директория так называется в домашней папке, в которой и хранятся все зашифрованные пароли ну и сайт называется www.passwordstore.org/ а на сайте везде пишут, что он называется просто pass
Видео познавательное. Такой взгляд со стороны. Сам много лет использую KeePassX. По видео не совсем понял можно ли использовать Pass в Windows? Судя по информации на сайте Pass, он только для unix подобных систем. А по использованию его в браузере в виде расширения, чем он лучше того же встроенного в браузерах мастера паролей?
Мне нравится bitwarden.com что удобный как lastpass (есть все клиенты, автозаполнение и TOTP при этом открыты не только клиенты, но серверная часть, т.е. можно свой сервер поднят со своим битварденом (на сервере делать бэкапы). Если пользоваться дефольным сервером битвардена, то можно еще бэкап хранить в KeePassXC, а базу которого хранить в nextcloud, там даже есть дополнение apps.nextcloud.com/apps/keeweb
Bitwarden хоть и открытый, но, во-первых, серверная часть написана с применением разработок микрософта (C#, ASP.NET итд), чья платформа для запуска такого сервера потенциально может иметь в себе неизвестные общей публике закладки и во вторых, их сервер запущен в Azure облаке того же микрософта. Совпадение? Не думаю )))
@@1nc0gnit спасибо за полезную информацию. Azure не страшен если я на свой сервер подниму, а вот "C#, ASP.NET итд" интересно, что там могут заложить. А вы каким менеджером паролей пользуетесь?
Привет ! Очень рад что нашел Ваши обзоры по свободным ПО. СЕГОДНЯ это необходимость но очень много уходит времени Не могу сказать что это интересно, но защищать информацию ВАЖНО и приходится изучать (это честно) С чем столкнулся я не программист и для меня все это сложно я "Чайник" но учусь. С 2016 года пользуюсь Линукс Роса Гном. Сейчас хочется подобрать связку Чтобы ноутбук с Линуксом и смартфон на Свободной ОС и приложения были сочетаемы или в облаке кроме Гугла я других не нахожу. Можно сделать обзор или даже обучающий курс (платный) по Совместимому железу и ПО . Может для вас это легко, а для меня это еще тот лабиринт. Может найдутся другие участники кому это интересно ? С большей конкретикой и пошагово. Необязательно самое лучшее можно в среднем сегменте уже что то. Извините если что не так! Заранее благодарю!!!
Кипасс пробовал. Хорошая штука. Единственное чего так и не получилось это запустить его в шелле. Там у него утилитка была kpcli глючила. Не юзал её случаем?
Вопрос когда вставляешь пароль из буфера обмена по команде "pass insert /logins/login1" как сделать чтобы показывались звездочки. а то вставляешь, но неясно всё ли прошло хорошо. Вдруг только я не знаю
Лучше завести отдельную флешку с зашифрованным (тем же veracrypt) файлом, в котором уже можно хранить хоть в тестовым, еще файлик должен быть с двойным дном. Только нужно будет запомнить 1-2 пароля в 20 символов, но при частом вводе это быстро.
Johe News ничем, но в случае чего флешка ломается, или если файл уже утёк, а утюг приближается к животу, то второе дно спасёт твои пароли и твоё тело:) А так я просто не доверяю тому, что имеет синхронизацию и расширения для браузера. Но инфа про такие сервисы была интересной:)
В LineageOS СбербанОнлайн будет работать или будет ругаться из-за root прав? Было бы интересно видео со всеми нюансами установки: разблокировки загрузчика и т.д. Какие есть минусы по сравнению с родной прошивкой?
Привет, можно узнать твою мнение по поводу веб-разработки в ОС Виндовс? Адекватно если в компании дают компьютер на винде для работы? (в компании работают как просто верстальщики, так и фронтендеры и бекенд разработчики)
бекенд ведь может быть разный, может быть бекенд на сишарпе, и в таком случае, естественно винда будет лучше. В остальном, на мой взгляд, макос будет лучше. Ну и линукс для тех, кто хорошо его знает. Так как на работе у тебя нет времени для того чтобы разбираться с какой-нибудь проблемой, которая у тебя всплыла в системе.
Подскажите почему может не рабоать автодополение, к примеру пишу pass abc/gma и хочу не дописывать полностью gmail а просто нажать таб чтобы оно дополнило, но оно не работает
Экспортирование паролей из LastPass возможно???? Как то более подробнее хотелось услышать как все это добро поставить на комп и на телефон например и связать все это с Google Authentificator или еще с каким нибудь аутентификатором(двухфакторную аутентификацию кароче настроить). И про LineageOS расскажи
Пользуюсь KeePass. Не понял чего вам в нем не хватило. Всё о чем говорилось в видео там тоже можно делать. Есть куча плагинов, хотя ими я не пользуюсь. Базу паролей шифрую не только паролем, а еще и файлом-ключом.
Видео очень конечно полезное, но не кто не упомянул про 2-3ю уденьтификацию пароля, например для синхронизации паролей (к примеру с гугла аккаунта) нужно не только логином и паролем подтвердить но и паролем из "смс" приходящего на твой телефон "Nokia 3310"
Пользовался долго KeePass. Но это Momo со всеми вытякающими... Потом появился KeePassX и использовал его на протяжении еще нескольких лет, а ~ 3 года назад перешел на KeePassXC - более функциональная и быстро набирающая обороты из-за хорошей поддержки разработки версия. Много киллер-фитч, которых нехватает в Pass. Вообще именно KeePassXC сейчас - как кроссплатформенный, крайне функциональный, безопасный и не выглядящий как унылое гувно (как, к сожалению, многое из софта в лине из-за отсутствия единого стандартна в дизайне интерфейсов и плавающего выбора библиотечной базы (Qt/GTK/wxWidgets) еще и разных версий), менеджер паролей.
Открытый, но, во-первых, серверная часть написана с применением разработок микрософта (C#, ASP.NET итд), чья платформа для запуска такого сервера потенциально может иметь в себе неизвестные общей публике закладки и во вторых, их сервер запущен в Azure облаке того же микрософта. Совпадение? Не думаю )))
@@1nc0gnitНасчёт C#, спокойно работает в linux, на гитхабе всё написано. Платформа для запуска этого Mono и всё тоже открыто. Пункт выше, запускай свой сервер на linux, то что офф сервер на Azure это дело разработчиков, никто не принуждает.
Обращаюсь с вопросом, который у меня возник при установке расширения pass: там необходимо указывать server address. Что это за сервер такой? Буду благодарен за помощь.
Раньше хранил в браузере всё, после просмотра видео задумался и решил всё перетащить в менеджер паролей. Но, никак не могу разобраться с extension (browserpass), не поможете? Выдаёт после ./install.sh ERROR: '/home/somename/Downloads/browserpass-2.0.11+dfsg/firefox-host.json' is missing. If you are running './install.sh' from a release archive, please file a bug. If you are running './install.sh' from the source code, make sure to follow CONTRIBUTING.md on how to build first.
@@johenews21 Я скачал от сюда launchpad.net/ubuntu/+source/browserpass файл stable version, разархивировал его зашел внутрь папки и выполнил команду sudo ./instal.sh
Решил я было установить keepass на свою kubuntu(знал бы я что с этого будет), прикол в том когда я создавал базу данных и заходил в нее снова появлялась ошибка о "неверный пароль (он верный) или файл повережден" и так постоянно, только одно обидно что понял я это (что прога не читает старую базу данных) после того так очистил все логины и логины с firefox и переней в keepass, может я один такой фартовый или вообще хз :-/
Привет Не очень удобно каждый раз ходить в терминал и копировать от туда свой пароль, поэтому я поставил расширение в хром. Но оно требует This add-on depends on a small binary you'll need to install on your OS. Installation instructions can be found here: github.com/browserpass/browserpass-native И я бы поставил его на свой Ubuntu 18.04 но не получается, не могу Не мог бы ты подсказать мне как установить browserpass-native Гугл не помог Заранее благодарен
кстати, при использовании кипаса советую кроме мастер-пароля обязательно использовать еще ключ! при чем для ключа сойдет вообще любой файл из интернета)) можно например взять публичный ключ линуса торвальдса, или jpg’шку какую, которая никогда не поменяется и есть в свободных источниках. тогда саму базу можно и на дропбоксе хранить)
как бы pass это юниксвей ))) вся фигня. Сам его юзаю в паре в c DMENU, очень удобно. Открываешь нужный пароль через gpg ключ, он копируется в буфер на 30 сек, потом оттуда удаляется.
@Johe News, Ништяк тулза - зашла. Для разраба самое то. Кроссплатформа есть и клиенты какие хошь. Пили еще. По поводу авера я не в курсе. Но по идее можно же сделать fake.. главное чтобы порты и чип был схожи. Про авермедиа есть на вики инфа - если про телек имел ввиду.
Я правильно понимаю, что хоть BitWarden и открытый, но база у него хранится на чужом сервере. И скинуть к себе в дропбокс, гугл драйв или локально никак не получится.
Код LastPass был проверен независимо несколько раз. И это самый старый менеджер паролей. Кроме того, LastPass работает на всех платформах, включая мобильные устройства и браузеры. Pass - неплохо, но как ты работаешь с ним в смартфоне?
каким образом код LastPass был независимо проверен несколько раз если он закрыт? Можешь дать мне код, я его проверю? В видео я вроде показал как работаю с pass на смартфоне
Для чего-то важного придумал мнемоническую систему и теперь запомнить пароли к сотне разных сервисов для меня не проблема + authy. Вроде не плохо. А на сайтах, где чёртовы админы требуют регистрацию, чтобы увидеть картинку или ссылку, у меня пароль 111111 и почта с tempmail - пусть ломают, мне не жалко
Согласен с требованием по опенсорс. Удивляет как некоторые в частности специалисты по безопасности сами используют и рекомендуют проприетарные решения. Хорошо ещё, когда по опенсорсным продуктам независимые аудиты проводятся. Но почему такая категоричность в отношении браузеров? - Если рассматривать для рядового использования. - Пароли там ведь тоже шифруются (если речь про chrome и гугл аккаунт), и генератор есть. Должно быть не сильно хуже проприетарных парольных менеджеров, и сильно лучше одного пароля везде или паролей в доке. Про безопасность в больших проектах - отдельная тема. Одно только лишь хеширование как по мне не панацея, нужен комплексный подход к построению безопасности и UX. Чего только стоит когда почтовые компании или операторы связи присылают клиентам "супер-пароли" в открытом виде, да ещё и не по защищенным каналам связи
Pass не имеет смысла без защиты Private Key, а вот если клю положить на YubiKey, то мы полаем уровень безопасности который не предлагает даже 1Password
• Не понял чем плохо хранение базы в дропбоксе. НексКлауд, кстати, сейчас тоже даёт всего 2 гига бесплатно, жаль не слышал про него на старте.... • Тащемта и на KeePass полно плагинов на сайте. • Мигрировать с KeePass после десяти лет использования я наверно надумаю только, когда стану максимально плотно работать с консолью. :) • а в Pass, что нет возможности вводить пароль скрыто? Это ж тоже дырка в безопасности.
Все хорошо, но очень не нравится упор на "Используйте менеджер паролей, когда их много, тут без вариантов. Их не запомнить". Самое безопасное место хранения - это ваша голова. Ну по крайней мере, пока что) А мнемотехника поможет запоминать даже самые наисложнейшие пароли, к которым иметь доступ будете только вы) Конечно тут потребуется определенный навык выработать, но это того стоит) Так что видео плюсую, но немного не нравится, когда говорят - Без вариантов)
безопасный пароль это D3F#83D*#)D039D)#DJ09j3d09jadhfUHsfdJ)D(209jd Для каждого сервиса нужен отдельный пароль. Я не представляю как такое можно держать в голове и никогда не забыть. Но если ты справляешься, то круто.
@@johenews21 Я за месяц небольших тренировок дошел до запоминания 30-40 цифр за 6 минут. Длительность запоминания зависит от вас. Алфавит запоминать намного легче. Знаки тоже не трудно. То есть если объединить вообще все символы (eng, цифры, знаки), то получиться не так уж и много) Паролей всего вы используете во всех системах не больше 10-20. Ну в среднем. Конечно можете и больше) Итого запомнить 20 паролей, потратив на это денек, другой... Не так уж и много. А вот сколько времени вы потратите на саму мнемотехнику... Здесь вопрос уже другой) Но вы предлагаете самый самый простой вариант и более менее безопасный. Большинству людей этот вариант конечно подойдет.
Отличный видос, тоже ищу удобный менеджер паролей, попробую. Ещё хотелось бы норм переводчик для linux найти, если знаешь такой, то тоже сними обзор на него плиз.
@@squiretrelawny5769 Пробовал пользоваться этим словарём, но никак не получается добавить словари для перевода в него. Много ресурсов перерыл, несколько десятков словарей попробовал добавить в него, всё время пишет, что либо словарь не найден (не подходит), либо не запускается функция перевода. Хотелось бы просто нормальный рабочий словарь, чтоб устанавливался легко без заморочек, или хотя бы было рабочее решение, как установить так, чтобы всё работало...
@@vovergg нужно добытые словари положить в нужную папку просто. распаковать файлы dz idx ifo. StarDict ищет словари в "~/.stardict/dic" и "/usr/share/stardict/dic", древовидные словари в "~/.stardict/treedict" and "/usr/share/stardict/treedict" download.huzheng.org/ru/
@@squiretrelawny5769 Вот теперь всё заработало.))) У меня тоже версия StarDict 3.0.1, до этого копировал словари в /usr/share/stardict/dic, и либо перевод не работал, либо программа словари не видела. Щас скопировал словари в ~/.stardict/dic, всё заработало. Благодарю.)
@@openalternative Та да, а судя по тому как легко у многих недавно увели каналы -- хром вообще дырявое *овно. Зато почту читать и следать за каждым чихом гугл гаразды.
Привет. Из какой ты страны, и где сейчас живешь ? Я тоже программист. Только на java. Имеется идея уезда и рашки федерашки. Куда нибудь в Европу или Сша. Что по поводу этого думаешь ?
Хочу немного подушнить) Во-первых лучше использовать keepassxc вместо keepassx, это форк который продолжает развиваться в отличии от keepassx и в нем куча крутых фишек реализовано. Не согласен с этим утверждением: >В этом плане мне кажется, что это это дополнительная защита. Если у вас украдут базу данных от Keepass то мошенникам нужен будет пароль. А если у вас украдут базу от pass, то нужен будет не только пароль, но еще и gpg ключ. В keepassx можно еще указывать ключ-файл дополнительно к паролю) И тогда защита будет не только парольная, но и файловая)
На самом деле программа pass штука удобная, но я выполняю то что она делает вручную))) Пароли генерирую через urandom и закидываю их в файл, называю файл чтоб я понял от чего пароль, а потом шифрую это своим gpg ключом. Вот как бы и весь секрет) Как я почитал, pass именно это и делает.
Про блокировки: Но ведь с ростом канала будет всё больше комментариев не соответствующих условиям "положительный или полезный". Что делать будешь дальше?
KeePass, на мой взгляд, один из самых удобных. Для части клиентов есть удобная фича - копирование в буфер (с ограничением времени) по клику.
Синхронизация на Linux криво работает. У меня так и не получилось настроить её. Пробовал Google Drive, SFTP, FTPS - ничего не работает. Очень много способов синхронизации на Linux вообще не поддерживается(
@Andrey Perevozchikov сразу товарищу майору скинуть. Он точно не потеряет.
@@nickc2928 ты будешь крайне удивлен, но даже ты нужон. Все тщательно записывается и сохраняется (благо память дешевеет с каждым годом). И когда будет нужно, это обязательно достанут и используют. Не факт, что не против тебя.
@@AndreySem keepassxc красивый и удобный форк KeePass, на линуксе синхронизирую через git
@@a1ltair git можно настроить на автоматическую синхронизацию?
ИМХО, Lineage заслуживает отдельного видео.
Я думаю многие были бы рады увидеть твои скрипты + conf от i3wm +i3status
Может как-то снимешь видео про совю ОС для смартфона?
Обзор на cianogen(ныне LineageOS), серьёзно? Такого контента в количестве 0)
Просто обзор снимать довольно скучно, так что если придумаю какую-то идею или о чем еще можно рассказать кроме просто обзора, то сниму
@@johenews21 безопасна ли LineageOS для банковских приложений?
@@johenews21, Можно ли поставить LineageOS на Nokia/Mocrososoft phone вместо мобильной винды? Видео гайд на русском был бы многим весьма полезен (в частности моей двоюродной бабушке, которой естественно я всё и сделаю, если найду хорошую инструкцию) как идея для видео вроде не плохо, но может быть скучно тем, кому это не нужно. Так что пожалуйста, подумай, можно ли такое реализовать
@@sonicpigz это тебе на 4pda.ru
Спасибо огромное.Раньше не думал,что есть киперы паролей.В блокнот писал.Теперь лучше будет)
Я тоже пароли записываю авторучкой в блокнотик.
Мне интересно про открытые ОС для телефона и еще про открытое железо, например про puri.sm, coreboot, libreboot. Потому что открытый софт на закрытом железе - это неполный опен сурс. Для примера, можешь запилить видосик про Intel AMT (это одна из частей vPro). Intel AMT работает на уровне прошивки и не зависит от ОС, с помощью Intel AMT можно видеть экран, управлять клавиатурой, мышкой, менять настройки и обновлять BIOS, есть доступ к сетевой карте (т.е. все этом можно делать удаленно) скорее всего, для спец. людей есть и нужный доступ к памяти, т.е. можно будет смотреть зашифрованные пароли, когда они расшифрованные хранятся в оперативке или кэше, т.е. менеджер паролей спасёт от делитантов-хейкеров, и не спасет от профи-хейкеров. И это не теория заговора, я сам использую все эти функции, кроме доспупа к озу, для управления удаленным сервером. Буду рад видосикам на все эти темы.
лучший вариант для смартфонов сейчас это postmarketOS, проблема в том, что все смарты чисто на блобах пашут
Есть ли такая шпионская технология у процессоров на архитектуре ARM например?
Purism это случаем не те ребята клиентов которых вскрыли через оператора связи? Пару тройку лет назад попересажали множество дельцов в Европе.
А как насчёт безопасности расширения pass для браузера? Я по старине буфер обмена использую
05:08 - Начало сути тут.
основная проблема в том что при работе в консоли через pass пароль виден на экране. и его можно подсмотреть, засветить на скриншоте, или в созвоне каком с шарингом экрана. молчу про ситуации когда на компе может стоять потенциально шпионское ПО и делать скрины экранов. в этом смысле мне keepassxc (прошу заметить, именно этот форк) нравится намного больше. хотя идея с отдельными файликами и папками мне ближе, чем какой-то бинарный и непонятный файл, который можно случайно повредить при синке, например( ну и история с гитом клевая, конечно, потому что вся история может быть сохранена.
а что кстати с файлами, в pass можно добавить файл? например, у меня в кипасе лежит база OTP-ключей. неплохо бы еще иметь возможность прикреплять файлики… хотя с другой стороны файл можно зашифровать gpg с ключом -a и просто вставить текстом.
@Johe News что Вы думаете про менеджер паролей Encryptr?
Спасибо! Прога то что надо, беру на вооружение. Есть у тебя видео как на Андроид поставить Опен сорсник? И какая лучше?
Приветствую. Еще не пробовал, но вопрос: Эту прогу ставишь на сервер (или свой комп), а потом на андроиде или на винде или еще как-то, и можешь быстро синхронизировать пароли? И как происходит синхранизация? через облако, своё например, или через внутренние функции программы?
Google smart lock советуешь?
Рад, что наткнулся на твой канал. Спасибо за информацию
спасибо! вопросы есть, расширение это выпилили для хрома, какое сейчас лучше использовать для хрома? сафари?
Доброго времени суток. Не подскажите Вашу модель ThinkPad'a ?
Не подскажете название браузера, пожалуйста)
Автосохранение и автозаполненние в одно нажатие,у этих менеджеров имеется, как у робоформа?
минус пасса в том, что он хранит название сервисов в открытом виде, нужна еще одна дополнительная защита.
экран не писал, потому что там защита от записи, кражи паролей
да, некоторые для этого используют Tomb
Спасибо
Почему нельзя хранить пароли в браузере? Не вводить же данные для входа на сайт всякий раз заново.
@Illantali Illa и насколько это легко сделать?
Мне очень удобно хранить конфиденциальную информацию в файле LibreOffice Calc, на который задан пароль.Подходит для хранения разной информации (не только паролей). Для каждого вида информации можно создать отдельный лист, на котором своя таблица с нужными тебе названиями столбцов, а не теми которые придумали разработчики, например keepassx. Поддерживается форматирование документа, т.е. выбор шрифта, его размер, цвет, выравнивание и многое другое. Хотелось бы узнать у автора видео о надежности такого вида хранения паролей. Понимаю, что взломать можно все, что угодно, но какова надежность по сравнению с тем же keepassx?
еще, как вариант, можно хранить пароли в запароленном архиве)
Ты абсолютно прав, но стоит отслеживать безопасность немного глубже (сейчас это достаточно просто - агрегаторов новостей IT-секьюрити много в интернете, а компаний тестирующих безопасность вообще немеряно).
В качестве только одного примера (их очень много на самом деле, и постоянно новые появляются):
Компания Independent Security Evaluators в ходе тестирования менеджеров паролей обнаружила, что весь топ-5 является уязвимым и позволяет при наличии доступа к компьютеру восстановить пароли пользователя, поскольку они остаются в памяти после использования.
Для востановления и деобфускации паролей доступны несколько вариантов (в разной степени для разных менеджеров).
Хотя проврдилось тестирование только версий для Windows, но специалисты считают, что данная проблема может быть проэксплуатирована и на других системах.
Уязвимые менеджеры:
- 1Password 7
- 1Password 4 (наиболее уязвим, поскольку позволяет даже восстановить мастар-пароль!)
- Dashlane
- KeePass (При этом KeePassX и KeePassXC уязвимыми не являются)
- LastPass
www.securityevaluators.com/casestudies/password-manager-hacking/
P.S. Относительно pass - согласен на 100% (у меня на OpenBSD он называется немного иначе - password-store, но это он же).
ну я так понимаю, что это сама директория так называется в домашней папке, в которой и хранятся все зашифрованные пароли
ну и сайт называется www.passwordstore.org/
а на сайте везде пишут, что он называется просто pass
@@johenews21 Да, просто используется другое имя для пакета.
openports.se/security/password-store
Получается, что чем нестандартнее решение, тем лучше?
Есть ли версия или аналог под windows? Интересно именно консольное представление менеджера паролей.
Видео познавательное. Такой взгляд со стороны. Сам много лет использую KeePassX. По видео не совсем понял можно ли использовать Pass в Windows? Судя по информации на сайте Pass, он только для unix подобных систем. А по использованию его в браузере в виде расширения, чем он лучше того же встроенного в браузерах мастера паролей?
С автозаполнением HTML-формой понятно. А что с формой регистрации которая появляется при basic authentication на веб сервере?
А что на счёт keybase ?
Мне нравится bitwarden.com что удобный как lastpass (есть все клиенты, автозаполнение и TOTP при этом открыты не только клиенты, но серверная часть, т.е. можно свой сервер поднят со своим битварденом (на сервере делать бэкапы). Если пользоваться дефольным сервером битвардена, то можно еще бэкап хранить в KeePassXC, а базу которого хранить в nextcloud, там даже есть дополнение apps.nextcloud.com/apps/keeweb
Bitwarden хоть и открытый, но, во-первых, серверная часть написана с применением разработок микрософта (C#, ASP.NET итд), чья платформа для запуска такого сервера потенциально может иметь в себе неизвестные общей публике закладки и во вторых, их сервер запущен в Azure облаке того же микрософта.
Совпадение? Не думаю )))
@@1nc0gnit спасибо за полезную информацию. Azure не страшен если я на свой сервер подниму, а вот "C#, ASP.NET итд" интересно, что там могут заложить. А вы каким менеджером паролей пользуетесь?
@@1nc0gnit чем вы сами пользуетесь?
@@1nc0gnit так каким менеджером паролей тогда в итоге пользоваться?
Привет ! Очень рад что нашел Ваши обзоры по свободным ПО. СЕГОДНЯ это необходимость но очень много уходит времени Не могу сказать что это интересно, но защищать информацию ВАЖНО и приходится изучать (это честно) С чем столкнулся я не программист и для меня все это сложно я "Чайник" но учусь. С 2016 года пользуюсь Линукс Роса Гном. Сейчас хочется подобрать связку Чтобы ноутбук с Линуксом и смартфон на Свободной ОС и приложения были сочетаемы или в облаке кроме Гугла я других не нахожу. Можно сделать обзор или даже обучающий курс (платный) по Совместимому железу и ПО . Может для вас это легко, а для меня это еще тот лабиринт. Может найдутся другие участники кому это интересно ? С большей конкретикой и пошагово. Необязательно самое лучшее можно в среднем сегменте уже что то.
Извините если что не так! Заранее благодарю!!!
А как быть с маками?
Кипасс пробовал. Хорошая штука. Единственное чего так и не получилось это запустить его в шелле. Там у него утилитка была kpcli глючила. Не юзал её случаем?
Enpass классный. Я его купил, использую (еще и) под Linux.
Вопрос когда вставляешь пароль из буфера обмена по команде "pass insert /logins/login1" как сделать чтобы показывались звездочки. а то вставляешь, но неясно всё ли прошло хорошо. Вдруг только я не знаю
Лучше завести отдельную флешку с зашифрованным (тем же veracrypt) файлом, в котором уже можно хранить хоть в тестовым, еще файлик должен быть с двойным дном. Только нужно будет запомнить 1-2 пароля в 20 символов, но при частом вводе это быстро.
чем шифрование в veracrypt лучше, чем файл зашифрованный gpg?
Johe News ничем, но в случае чего флешка ломается, или если файл уже утёк, а утюг приближается к животу, то второе дно спасёт твои пароли и твоё тело:) А так я просто не доверяю тому, что имеет синхронизацию и расширения для браузера. Но инфа про такие сервисы была интересной:)
На nextcloud есть расширение менеджер паролей, его можно расценивать, как надежное?
В LineageOS СбербанОнлайн будет работать или будет ругаться из-за root прав? Было бы интересно видео со всеми нюансами установки: разблокировки загрузчика и т.д. Какие есть минусы по сравнению с родной прошивкой?
А как же Firefox Lockwise? Он ничто никуда не вигружает, только синхронизация между девайсами напрямую, вроде класная штука.
Что скажешь про связку ключей OS X?
Привет, можно узнать твою мнение по поводу веб-разработки в ОС Виндовс? Адекватно если в компании дают компьютер на винде для работы? (в компании работают как просто верстальщики, так и фронтендеры и бекенд разработчики)
бекенд ведь может быть разный, может быть бекенд на сишарпе, и в таком случае, естественно винда будет лучше.
В остальном, на мой взгляд, макос будет лучше. Ну и линукс для тех, кто хорошо его знает. Так как на работе у тебя нет времени для того чтобы разбираться с какой-нибудь проблемой, которая у тебя всплыла в системе.
Подскажите почему может не рабоать автодополение, к примеру пишу pass abc/gma и хочу не дописывать полностью gmail а просто нажать таб чтобы оно дополнило, но оно не работает
Экспортирование паролей из LastPass возможно???? Как то более подробнее хотелось услышать как все это добро поставить на комп и на телефон например и связать все это с Google Authentificator или еще с каким нибудь аутентификатором(двухфакторную аутентификацию кароче настроить). И про LineageOS расскажи
Keepass много лет использую.
Наглядная практика, суровый гиковский минимализм) Интересно было узнать
Пользуюсь KeePass. Не понял чего вам в нем не хватило. Всё о чем говорилось в видео там тоже можно делать. Есть куча плагинов, хотя ими я не пользуюсь. Базу паролей шифрую не только паролем, а еще и файлом-ключом.
Почему мне должно чего-то не хватить?
под macos есть pass? может быть я прослушал?
Видео очень конечно полезное, но не кто не упомянул про 2-3ю уденьтификацию пароля, например для синхронизации паролей (к примеру с гугла аккаунта) нужно не только логином и паролем подтвердить но и паролем из "смс" приходящего на твой телефон "Nokia 3310"
Пользовался долго KeePass. Но это Momo со всеми вытякающими... Потом появился KeePassX и использовал его на протяжении еще нескольких лет, а ~ 3 года назад перешел на KeePassXC - более функциональная и быстро набирающая обороты из-за хорошей поддержки разработки версия. Много киллер-фитч, которых нехватает в Pass. Вообще именно KeePassXC сейчас - как кроссплатформенный, крайне функциональный, безопасный и не выглядящий как унылое гувно (как, к сожалению, многое из софта в лине из-за отсутствия единого стандартна в дизайне интерфейсов и плавающего выбора библиотечной базы (Qt/GTK/wxWidgets) еще и разных версий), менеджер паролей.
Привет! Какую программу для заметок используешь для телефона?
nextcloud notes
в менеджере приложений пишу pass что бы скачать и там их хренова тона утелит и все называются pass какой именно?
Существует ли что-то вроде реппозиториев Open Source приложений для Windows?
да!!! называются торенты, кряки, и таблетки
Здравствуйте. Скажите пожалуйста, если ты поменял пароль в инстаграм, то придется в это приложение писать свой новый пароль ?
Спасибо за видосики, я оформил подписочку!
Подскажи, какой дистрибутив линукса у тебя стоит.
arch
@@johenews21 Спасибо!
Bitwarden открытый вроде же
Открытый, но, во-первых, серверная часть написана с применением разработок микрософта (C#, ASP.NET итд), чья платформа для запуска такого сервера потенциально может иметь в себе неизвестные общей публике закладки и во вторых, их сервер запущен в Azure облаке того же микрософта.
Совпадение? Не думаю )))
@@1nc0gnitНасчёт C#, спокойно работает в linux, на гитхабе всё написано. Платформа для запуска этого Mono и всё тоже открыто.
Пункт выше, запускай свой сервер на linux, то что офф сервер на Azure это дело разработчиков, никто не принуждает.
Обращаюсь с вопросом, который у меня возник при установке расширения pass: там необходимо указывать server address. Что это за сервер такой? Буду благодарен за помощь.
скорее всего в связке с gpg-agent локалхост, сам пока не нашел расширение
Спасибо, хороший софт, взял на земетку... Побольше подобных обзоров на Open Source/
Раньше хранил в браузере всё, после просмотра видео задумался и решил всё перетащить в менеджер паролей. Но, никак не могу разобраться с extension (browserpass), не поможете? Выдаёт после ./install.sh
ERROR: '/home/somename/Downloads/browserpass-2.0.11+dfsg/firefox-host.json' is missing.
If you are running './install.sh' from a release archive, please file a bug.
If you are running './install.sh' from the source code, make sure to follow CONTRIBUTING.md on how to build first.
а как ты это устанавливаешь? почему оно у тебя в папке Downloads? Что ты уже установил? Опиши подробнее
@@johenews21 Я скачал от сюда launchpad.net/ubuntu/+source/browserpass файл stable version, разархивировал его зашел внутрь папки и выполнил команду sudo ./instal.sh
А как пользоваться pass если кроме линукс и андроид у меня есть windows а pass под нее нет?
"Pass4Win: Windows client"
Johe News разработчик вроде бы прекратил разработку, нет?
Решил я было установить keepass на свою kubuntu(знал бы я что с этого будет), прикол в том когда я создавал базу данных и заходил в нее снова появлялась ошибка о "неверный пароль (он верный) или файл повережден" и так постоянно, только одно обидно что понял я это (что прога не читает старую базу данных) после того так очистил все логины и логины с firefox и переней в keepass, может я один такой фартовый или вообще хз :-/
Годный контент подъехал
Привет
Не очень удобно каждый раз ходить в терминал и копировать от туда свой пароль, поэтому я поставил расширение в хром.
Но оно требует This add-on depends on a small binary you'll need to install on your OS. Installation instructions can be found here: github.com/browserpass/browserpass-native
И я бы поставил его на свой Ubuntu 18.04 но не получается, не могу
Не мог бы ты подсказать мне как установить browserpass-native
Гугл не помог
Заранее благодарен
На тему развития речи. Есть хорошая книга "Мастерство эфирного выступления". Самое то, для занятия ютубом.
habr.com/ru/post/441166/ - Про уязвимость в 1Password. довольно свежая статья.
С удовольтвием ещё послушал рассуждений на эту тему.
статья свежая, а версия 1password не свежая
Где ссылка? Добавь плиз, а то искать бывает проблематично
кстати, при использовании кипаса советую кроме мастер-пароля обязательно использовать еще ключ! при чем для ключа сойдет вообще любой файл из интернета)) можно например взять публичный ключ линуса торвальдса, или jpg’шку какую, которая никогда не поменяется и есть в свободных источниках. тогда саму базу можно и на дропбоксе хранить)
Картинка может пережаться, текст поменяться, как-то не очень решение
@@Shkur777 тогда PDF фаил?
@@bbcode7 зачем? Почему не использовать ассимертчный ключи? Gpg
Я так делаю, но теперь с твоей помощью исправлюсь.
Какая модель телефона?
Что это за клава у тебя?
как бы pass это юниксвей ))) вся фигня. Сам его юзаю в паре в c DMENU, очень удобно. Открываешь нужный пароль через gpg ключ, он копируется в буфер на 30 сек, потом оттуда удаляется.
@Johe News, Ништяк тулза - зашла. Для разраба самое то. Кроссплатформа есть и клиенты какие хошь. Пили еще. По поводу авера я не в курсе. Но по идее можно же сделать fake.. главное чтобы порты и чип был схожи. Про авермедиа есть на вики инфа - если про телек имел ввиду.
Я правильно понимаю, что хоть BitWarden и открытый, но база у него хранится на чужом сервере. И скинуть к себе в дропбокс, гугл драйв или локально никак не получится.
Код LastPass был проверен независимо несколько раз. И это самый старый менеджер паролей. Кроме того, LastPass работает на всех платформах, включая мобильные устройства и браузеры. Pass - неплохо, но как ты работаешь с ним в смартфоне?
каким образом код LastPass был независимо проверен несколько раз если он закрыт?
Можешь дать мне код, я его проверю?
В видео я вроде показал как работаю с pass на смартфоне
Если будет видео по безопасности то раскрой тему почему в браузере нельзя хранить пароли (чем это черевато и т.д.)
Можно узнать название клавиатуры?
leopold fc660c
Для чего-то важного придумал мнемоническую систему и теперь запомнить пароли к сотне разных сервисов для меня не проблема + authy. Вроде не плохо.
А на сайтах, где чёртовы админы требуют регистрацию, чтобы увидеть картинку или ссылку,
у меня пароль 111111 и почта с tempmail - пусть ломают, мне не жалко
как думаешь. если другой человек увидит один твой пароль то сможет ли он понять это мнемоническое правило и угадать пароли к остальным сайтам?
Модель клавиатуры можно узнать ? =) Спасибо. За видосик Лайк, все по делу =)
Leopold FC660C
её можно поставить на макбук (сверху родной клавы) и не тратиться на баллоны =)
Согласен с требованием по опенсорс. Удивляет как некоторые в частности специалисты по безопасности сами используют и рекомендуют проприетарные решения. Хорошо ещё, когда по опенсорсным продуктам независимые аудиты проводятся.
Но почему такая категоричность в отношении браузеров? - Если рассматривать для рядового использования. - Пароли там ведь тоже шифруются (если речь про chrome и гугл аккаунт), и генератор есть. Должно быть не сильно хуже проприетарных парольных менеджеров, и сильно лучше одного пароля везде или паролей в доке.
Про безопасность в больших проектах - отдельная тема. Одно только лишь хеширование как по мне не панацея, нужен комплексный подход к построению безопасности и UX. Чего только стоит когда почтовые компании или операторы связи присылают клиентам "супер-пароли" в открытом виде, да ещё и не по защищенным каналам связи
Вот мне тоже кажется лучше уж пусть пароли в гуглхроме через генератор, чем одинаковый от всего
Pass не имеет смысла без защиты Private Key, а вот если клю положить на YubiKey, то мы полаем уровень безопасности который не предлагает даже 1Password
Сделай видио про ОС на твоем телефоне
RoboForm лучший из всего, чем пользовался
Под Виндой и в Андроид использую PasswdSafe. Для Линукса нашёл софтинку умеющую работать с БД PasswdSafe (с нюансами), для Мака пока ничего не нашёл.
• Не понял чем плохо хранение базы в дропбоксе. НексКлауд, кстати, сейчас тоже даёт всего 2 гига бесплатно, жаль не слышал про него на старте....
• Тащемта и на KeePass полно плагинов на сайте.
• Мигрировать с KeePass после десяти лет использования я наверно надумаю только, когда стану максимально плотно работать с консолью. :)
• а в Pass, что нет возможности вводить пароль скрыто? Это ж тоже дырка в безопасности.
есть Nextcloud и на 5 гигов cloud.webo.hosting/
Взял на заметку. Но сам использую master password. По заветам столмана, пароли не нужны, когда есть один пароль.
годно, лукас
Зачем тебе Shure SM7b? Неужели для съемок видео по Linux купил?
Все хорошо, но очень не нравится упор на "Используйте менеджер паролей, когда их много, тут без вариантов. Их не запомнить". Самое безопасное место хранения - это ваша голова. Ну по крайней мере, пока что) А мнемотехника поможет запоминать даже самые наисложнейшие пароли, к которым иметь доступ будете только вы) Конечно тут потребуется определенный навык выработать, но это того стоит) Так что видео плюсую, но немного не нравится, когда говорят - Без вариантов)
безопасный пароль это D3F#83D*#)D039D)#DJ09j3d09jadhfUHsfdJ)D(209jd
Для каждого сервиса нужен отдельный пароль. Я не представляю как такое можно держать в голове и никогда не забыть. Но если ты справляешься, то круто.
@@johenews21 Я за месяц небольших тренировок дошел до запоминания 30-40 цифр за 6 минут. Длительность запоминания зависит от вас. Алфавит запоминать намного легче. Знаки тоже не трудно. То есть если объединить вообще все символы (eng, цифры, знаки), то получиться не так уж и много) Паролей всего вы используете во всех системах не больше 10-20. Ну в среднем. Конечно можете и больше) Итого запомнить 20 паролей, потратив на это денек, другой... Не так уж и много. А вот сколько времени вы потратите на саму мнемотехнику... Здесь вопрос уже другой) Но вы предлагаете самый самый простой вариант и более менее безопасный. Большинству людей этот вариант конечно подойдет.
тоже сижу под lineage
Отличный видос, тоже ищу удобный менеджер паролей, попробую. Ещё хотелось бы норм переводчик для linux найти, если знаешь такой, то тоже сними обзор на него плиз.
stardict вроде норм. правда это словарь. но есть функция перевода слов прям в других приложениях во всплывающем балоне
@@squiretrelawny5769
Пробовал пользоваться этим словарём, но никак не получается добавить словари для перевода в него. Много ресурсов перерыл, несколько десятков словарей попробовал добавить в него, всё время пишет, что либо словарь не найден (не подходит), либо не запускается функция перевода.
Хотелось бы просто нормальный рабочий словарь, чтоб устанавливался легко без заморочек, или хотя бы было рабочее решение, как установить так, чтобы всё работало...
@@vovergg нужно добытые словари положить в нужную папку просто. распаковать файлы dz idx ifo.
StarDict ищет словари в "~/.stardict/dic" и "/usr/share/stardict/dic", древовидные словари в "~/.stardict/treedict" and "/usr/share/stardict/treedict"
download.huzheng.org/ru/
@@vovergg у меня stardict 3.0.1
и распакованные файлы словарей в директорию ~/.stardict/dic подхватываются без перезапуска программы
@@squiretrelawny5769
Вот теперь всё заработало.))) У меня тоже версия StarDict 3.0.1, до этого копировал словари в /usr/share/stardict/dic, и либо перевод не работал, либо программа словари не видела. Щас скопировал словари в ~/.stardict/dic, всё заработало. Благодарю.)
Мне как бывшему и еще чуть чуть виндузятнику, не зашел сильно....
А почему нельзя доверять хранить свои пароли хрому?) Они же там тоже шифрованные, а чтоб посмотреть пароль -- приходится вводить пароль от учетки ОС.
У хрома открытый исходный код?
@@openalternative Та да, а судя по тому как легко у многих недавно увели каналы -- хром вообще дырявое *овно. Зато почту читать и следать за каждым чихом гугл гаразды.
Привет. Из какой ты страны, и где сейчас живешь ? Я тоже программист. Только на java. Имеется идея уезда и рашки федерашки. Куда нибудь в Европу или Сша. Что по поводу этого думаешь ?
5:00 а почему бы не записать видео с упоминанием проектов халтурно относящихся к паролям пользователей?
Использую Bitwarden, очень доволен. В бесплатном варианте есть все необходимое.
Убери первое "для" в названии)
Хочу немного подушнить)
Во-первых лучше использовать keepassxc вместо keepassx, это форк который продолжает развиваться в отличии от keepassx и в нем куча крутых фишек реализовано.
Не согласен с этим утверждением:
>В этом плане мне кажется, что это это дополнительная защита. Если у вас украдут базу данных от Keepass то мошенникам нужен будет пароль. А если у вас украдут базу от pass, то нужен будет не только пароль, но еще и gpg ключ.
В keepassx можно еще указывать ключ-файл дополнительно к паролю) И тогда защита будет не только парольная, но и файловая)
Кстати оставляй в описании названия хотя бы, того софта и сервисов о которых упоминаешь в видео, а то потом искать за***ет по таймлайну
Так он же спецом xhost офает, чтобы пароль не дернули, кульно, жаль не показал саму настройку пжп, синхронизацию и все такое.
На самом деле программа pass штука удобная, но я выполняю то что она делает вручную)))
Пароли генерирую через urandom и закидываю их в файл, называю файл чтоб я понял от чего пароль, а потом шифрую это своим gpg ключом. Вот как бы и весь секрет)
Как я почитал, pass именно это и делает.
Не в курсе, может ты знаешь, но у тебя ip-шник светится в видео.
ужас
Про блокировки: Но ведь с ростом канала будет всё больше комментариев не соответствующих условиям "положительный или полезный". Что делать будешь дальше?
Не думаю, что канал будет сильно расти, тематика Linux, Open Source, ИТ, программирование имеет крайне узкую аудиторию. Максимум тыщ 10.
однозначно KeePass.